《教育城域網(wǎng)網(wǎng)絡技術要求》

ICS

團體標準

XXXXXXXX

教育城域網(wǎng)網(wǎng)絡技術要求

Educationalmetropolitanareanetworktechnicalrequirements

(征求意見稿)

20xx-xx-xx發(fā)布20xx-xx-xx實施

中國互聯(lián)網(wǎng)協(xié)會發(fā)布

教育城域網(wǎng)網(wǎng)絡技術要求

1范圍

本文件提供了教育城域網(wǎng)技術指導，包括網(wǎng)絡架構(gòu)、出口安全、柔性網(wǎng)絡、IPv6業(yè)務部署、智能

運維和園數(shù)融合。

本文件適用于參與組建教育城域網(wǎng)的各級組織。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

序號標準編號標準名稱

1IETFRFC2119RFC中用于指示需求級別的關鍵詞

（KeywordsforuseinRFCstoIndicateRequirementLevels）

2IETFRFC7348VXLAN（VirtualeXtensibleLocalAreaNetwork)

3IETFRFC7209以太網(wǎng)EVPN（RequirementsforEthernetVPN)

4IETFRFC7432BGP基于MPLS的以太網(wǎng)VPN（BGPMPLS-BasedEthernetVPN）

3術語、定義和縮略語

3.1術語和定義

本文件沒有需要界定的術語和定義。

3.2縮略語

下列縮略語適用于本文件

序號詞語解釋

1SDNSDN軟件定義網(wǎng)絡（softwaredefinednetwork）

2NATNAT網(wǎng)絡地址轉(zhuǎn)換（NetworkAddressTranslation）

3FWFW防火墻（Firewall）

4SSLSSL安全套接層(SecureSocketsLayer),

5IPSecIPSec協(xié)議安全性(InternetProtocolSecurity,Internet)

6VLANVLAN虛擬局域網(wǎng)(VirtualLocalAreaNetwork),

7VXLANVXLAN虛擬擴展局域網(wǎng)(VirtualeXtensibleLocalAreaNetwork)

4教育城域網(wǎng)網(wǎng)絡架構(gòu)

教育城域網(wǎng)包括有線部分和無線部分，有線部分由接入，匯聚，核心三層設備組成，搭配城域網(wǎng)SDN

控制器。無線部分由無線AC、無線AP組成。

整體網(wǎng)絡架構(gòu)如下：

（1）接入到匯聚使用VLAN進行聯(lián)通，在匯聚層設備上，不同VLAN映射到不同Vxlan進行

隔離，同時匯聚和核心設備之間運行Vxlan構(gòu)建overlay網(wǎng)絡，構(gòu)建一個邏輯上的大二層網(wǎng)絡，

同時采用分布式L3網(wǎng)關并通過可靠的機制有效地抑制廣播風暴。

（2）策略管理上采用了面向用戶的分組模式，將屬性或者訪問權(quán)限相近的用戶分到一

個安全組中，同時也將服務器側(cè)的資源劃分到安全組進行統(tǒng)一管理。策略定義時，基于可視

化的SDN控制臺方式實現(xiàn)，簡單直觀。

（3）基于5W1H的靈活的用戶認證接入機制，根據(jù)who（誰），whose（誰的設備），what

（什么設備），when（什么時間），where（什么地點），how（什么方式）多個維度覆蓋各

種接入場景。用戶可根據(jù)自己的需求，靈活定制場景，滿足自己個性化的需求。

（4）支持用戶終端在整個生命周期中mac和IP的強綁定，終端不管移動到哪里，可以做

到終端始終綁定唯一固定的IP，滿足城域網(wǎng)安全管理需求。

（5）整網(wǎng)的核心是城域網(wǎng)SDN控制器。所有對網(wǎng)絡的自動化上線，接入管理，用戶組/

策略管理，業(yè)務配置管理全部在SDN控制器上通過直觀的圖形化界面完成。SDN控制器將管理

員的操作在后臺轉(zhuǎn)化為網(wǎng)絡設備的具體命令進行下發(fā)給設備執(zhí)行。

在此架構(gòu)下，為了實現(xiàn)分層設計分層部署，需要將Underlay和Overlay的部分分開進行設計。

4.1Underlay網(wǎng)絡架構(gòu)

城域網(wǎng)的Underlay網(wǎng)絡系統(tǒng)是一張物理網(wǎng)，采取樹形結(jié)構(gòu)部署，分為核心層、匯聚層、接入層，以

及無線管理區(qū)、網(wǎng)絡管理區(qū)、出口互聯(lián)區(qū)、安全檢查區(qū)。其中核心層、匯聚層和網(wǎng)絡管理區(qū)是最重要的

部分，設計中需要重點關注。

各區(qū)/層有如下定義和作用：

核心層（Spine層）：是城域網(wǎng)數(shù)據(jù)交互的核心，連接城域網(wǎng)各個部分，負責路由反射、數(shù)據(jù)高

速轉(zhuǎn)發(fā)等，通常要部署性能高、穩(wěn)定性好的交換機，多采用框式中高端交換機。部署于電教館

數(shù)據(jù)中心。

匯聚層（Leaf層）：是城域網(wǎng)用戶的分布式網(wǎng)關，負責用戶接入、東西向流量轉(zhuǎn)發(fā)、南北向流

量轉(zhuǎn)發(fā)。通常在部署的時候要兼顧成本和性能，根據(jù)用戶數(shù)選用滿足成本要求的中低端盒式交

換機。在一些對性能和穩(wěn)定性要求高的應用場景，也可以選中端框式交換機。通常部署于各學

校、教育機構(gòu)的數(shù)據(jù)中心機房。

接入層（Access層）：負責城域網(wǎng)中有線用戶接入和無線AP接入，通常選用中低端盒式交換機，

端口數(shù)量多，不需要支持太多三層功能。接入層區(qū)分有線接入層和無線接入層，無線接入層選

用的交換機需要支持POE供電，成本會較普通交換機高，所以有線接入層和無線接入層一般會分

開部署，避免浪費POE端口。接入層交換機支持通過級聯(lián)擴展接入端口數(shù)量，但是為了支持自動

化，對接入層數(shù)有一定限制，一般不超過三層。通常部署于終端用戶側(cè)弱電間。

無線管理區(qū)：是城域網(wǎng)內(nèi)部署無線控制器（后續(xù)簡稱無線AC）的區(qū)域。推薦使用獨立AC部署，

旁掛核心交換機，根據(jù)需要管理的無線AP數(shù)量和無線用戶數(shù)量，可以選擇一組或多組無線AC來

進行管理。建議統(tǒng)一部署于電教館數(shù)據(jù)中心機房。

網(wǎng)絡管理區(qū)：用于部署網(wǎng)絡管理服務器的區(qū)域，如網(wǎng)管系統(tǒng)，AAA認證服務器，SDN控制器等。

網(wǎng)絡管理區(qū)與核心區(qū)之間需要采用三層交換機連接，確保IP可達。

出口互聯(lián)區(qū)：是城域網(wǎng)內(nèi)部網(wǎng)絡的邊界，部署負載均衡設備，負責園區(qū)外部WAN網(wǎng)、專網(wǎng)、Internet

與城域網(wǎng)內(nèi)部網(wǎng)絡的互通。

安全檢查區(qū)：主要用于部署防火墻等安全檢測設備，旁掛核心交換機，可以對南北向和東西向

流量進行安全檢測。

組網(wǎng)描述：

核心層交換機和匯聚層交換機采用堆疊，兩兩組成堆疊體，保證設備冗余和鏈路冗余，避免單

點故障。核心交換機和匯聚交換機之間采用EVPN協(xié)議構(gòu)建Overlay邏輯組網(wǎng)。

接入層交換機雙線雙歸屬到對應的匯聚交換機組中，同時接入交換機還可以進行多級級聯(lián)（一

般不超過三層），以滿足不同場景下的特殊需求。

多速率PoE接入層交換機支持5G/2.5G/1G,可滿足大功率高速WiFi6AP的接入。

無線網(wǎng)絡，無線控制器旁掛在Spine上，無線控制器完成無線終端的認證，無線終端的網(wǎng)關落在

Spine交換機上。

防火墻旁掛在Spine交換機上，采用聚合連接到兩臺Spine上，單臂模式，提供跨VRF和內(nèi)部訪問

外部網(wǎng)絡的安全控制。

服務器區(qū)提供設備自動化上線、業(yè)務部署、認證、管理、運維服務，與Spine三層互通。

4.2Overlay網(wǎng)絡架構(gòu)

整體網(wǎng)絡物理架構(gòu)由核心層、匯聚層以及接入層設備構(gòu)成，不同點是在核心層與匯聚層設備上啟用

Overlay技術，同時在內(nèi)部服務器區(qū)部署SDN控制器，并由SDN控制器控制整個網(wǎng)絡的運行。具體設計如

下。

核心層和匯聚層設備之間構(gòu)建overlay網(wǎng)絡，構(gòu)建一個無狀態(tài)網(wǎng)絡，同時采用分布式L3網(wǎng)關并通

過可靠的機制有效地抑制廣播風暴，接入層設備采用動態(tài)VLAN接入，匯聚層再完成VLAN到VxLAN

的映射。

策略管理上采用了面向用戶的分組模式，將屬性相同的設備或者訪問權(quán)限相近的用戶分到一個

策略組中，同時也將服務器側(cè)的資源劃分到相應的策略組進行統(tǒng)一管理。

采用認證系統(tǒng)，根據(jù)用戶登錄的用戶名或設備的MAC地址與IP地址綁定，實現(xiàn)用戶或設備不管到

任何地方，其IP地址不變，從而使得其的安全策略也不便，方便管理運維。

方案的核心是SDN網(wǎng)控制器組件。整網(wǎng)的核心是城域網(wǎng)SDN控制器。所有對網(wǎng)絡的自動化上線，

接入管理，用戶組/策略管理，業(yè)務配置管理全部在SDN控制器上通過直觀的圖形化界面完成。

SDN控制器將管理員的操作在后臺轉(zhuǎn)化為網(wǎng)絡設備的具體命令進行下發(fā)給設備執(zhí)行。

服務器管理區(qū)，SDN控制器/DHCP服務器和網(wǎng)絡設備之間三層互聯(lián)；

Spine設備與Leaf設備之間連接的鏈路為underlay鏈路，配置Spine和Leaf設備之間路由可達；

Leaf下行口作為用戶上線認證點

Leaf與Access設備連接的鏈路為Leaf下行接口，Leaf下行接口配置為認證接口，用于用

戶認證；

當用戶上線時，Leaf設備通過“下行接口+VLANID”來識別不同的Access接口，并且根據(jù)

不同的登錄帳號進入到不同的安全組內(nèi)；

認證用戶通過DHCPRelay在option82中攜帶不同的安全組信息，向DHCPServer申請分配

ip地址；

DHCPServer識別安全組信息，分配對應的ip地址；

Access設備VLAN分配規(guī)則

Access設備作為二層接入設備，用于連接終端設備。Access與Leaf設備連接的鏈路為

Access上行接口，配置為porttrunkpermitVLANall；

SDN控制器會為Access設備的每個下行接口分配一個VLANID，來標記每個終端的位置；從

VLAN101開始，同一臺Leaf下，不同下行接口連接的Access設備，VLAN都是從VLAN101

開始分配，可解決VLAN數(shù)量的限制問題。

4.3標準VXLAN模型組網(wǎng)

適用于總部（電教館）+多分支（下屬學校）的接入場景，或者多個主園區(qū)接入場景。控制組件、

分析組件、DHCP服務器集中部署在一個主園區(qū)。AC可集中部署在電教館，所有的AP都注冊到該AC；

也可在每個學校分布式部署，每個學校的AP注冊到各自的AC。

SDN方案可以實現(xiàn)無狀態(tài)網(wǎng)絡、策略隨行、網(wǎng)隨人動、有線無線一體化、虛擬網(wǎng)絡隔離、業(yè)務按需

交付、設備自動部署、園區(qū)一鍵啟動等全部方案亮點。

5出口安全

5.1數(shù)據(jù)安全

數(shù)據(jù)安全是在數(shù)據(jù)的整個生命周期中保護數(shù)據(jù)免受未經(jīng)授權(quán)的訪問、損壞或盜竊的做法。這個概念

涵蓋了信息安全的各個方面，從硬件和存儲設備的物理安全到管理和訪問控制，以及軟件應用程序的邏

輯安全。它還包括組織政策和程序。

數(shù)據(jù)安全主要分為三個方面：數(shù)據(jù)的傳輸加密、數(shù)據(jù)傳輸端點安全、數(shù)據(jù)傳輸通道安全和數(shù)據(jù)傳輸

的訪問控制。

5.1.1數(shù)據(jù)傳輸加密

數(shù)據(jù)傳輸過程的數(shù)據(jù)加密，是確保數(shù)據(jù)傳輸安全最有效的技術之一。數(shù)據(jù)傳輸加密包括網(wǎng)絡通道加

密和信源加密，其中網(wǎng)絡通道加密包括基于SSL和IPSEC協(xié)議的VPN技術，依托協(xié)議中的加密和認證技

術，實現(xiàn)對網(wǎng)絡數(shù)據(jù)包的機密性和完整性保護，滿足移動辦公接入、安全組網(wǎng)等需求。信源加密會在數(shù)

據(jù)流動之前先應用加密技術進行加密，在接收端對加密的數(shù)據(jù)進行解密。每一次兩點之間的數(shù)據(jù)傳輸過

程，都會有加密及解密的過程，一個數(shù)據(jù)到達目的地之前，可能會經(jīng)過很多的傳輸鏈路，也會經(jīng)歷很多

加解密的過程。在線加密技術可以有效確保在網(wǎng)絡傳輸過程的數(shù)據(jù)流是處于非明文狀態(tài)，縱使被黑客攔

截，也可以有效保障數(shù)據(jù)安全性，防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，以及數(shù)據(jù)傳輸過程中被竊取和篡

改。這是比較成熟的技術方案，但在實踐應用過程，需要結(jié)合以下要點綜合全面考慮環(huán)境部署。

數(shù)據(jù)機密性

數(shù)據(jù)傳輸過程的數(shù)據(jù)機密性，即傳輸?shù)臄?shù)據(jù)不能明文，這是數(shù)據(jù)傳輸安全最基本的要求。常見的數(shù)

據(jù)加解密算法有以下幾種：對稱算法(國產(chǎn)算法SM1、SM4，國際算法DES、3DES、AES)，非對稱算法（國

產(chǎn)算法SM2，國際算法RSA）以及哈希算法(國產(chǎn)算法SM3，國際算法SHA512)。對稱算法加解密優(yōu)點是

加密解密的速度快，適合于大量數(shù)據(jù)的加密；非對稱算法的加解密效率低，一般也沒有必須用于大量數(shù)

據(jù)的加密，通?？梢杂糜跀?shù)據(jù)加密秘鑰交換的加密。一般數(shù)據(jù)傳輸過程，采用TLS、SSH等加密協(xié)議，

可以認為數(shù)據(jù)傳輸過程中數(shù)據(jù)保密性合規(guī)。

這些加密算法應用非常成熟，組織在應用加密技術時，不能以技術至上，需要從整個組織的角度，

綜合考量技術與經(jīng)濟效率的平衡，圍繞“價值-風險”雙元統(tǒng)一的風險管理思想，在保障數(shù)據(jù)傳輸安全

基本要求的前提下，做出適合組織實際應用的決策。組織并不會使用單一的加密技術，往往會各類技術

混合使用、互補優(yōu)缺點使數(shù)據(jù)的傳輸更加安全。

數(shù)據(jù)完整性

數(shù)據(jù)傳輸過程的數(shù)據(jù)完整性，可以通過校驗技術或密碼技術來檢測包括鑒別數(shù)據(jù)、業(yè)務數(shù)據(jù)、審計

數(shù)據(jù)、配置數(shù)據(jù)、重要個人信息、網(wǎng)絡數(shù)據(jù)等數(shù)據(jù)，確保數(shù)據(jù)正常傳輸、不掉包、傳輸過程未被篡改以

及非授權(quán)訪問。數(shù)據(jù)傳輸過程一般會通過協(xié)議來實現(xiàn)數(shù)據(jù)報文的完整性校驗。如數(shù)據(jù)傳輸應用TLS、SSH

協(xié)議，會通過MAC來校驗，可以認為數(shù)據(jù)傳輸過程中數(shù)據(jù)完整性合規(guī)。

數(shù)據(jù)可用性

數(shù)據(jù)傳輸過程的數(shù)據(jù)可用性，主要為了保障對數(shù)據(jù)的持續(xù)訪問以及當數(shù)據(jù)遭受意外攻擊或破壞時，

可以迅速恢復并能投入使用。具體包括為了避免網(wǎng)絡設備以及通信線路出現(xiàn)故障時引起數(shù)據(jù)通信中斷，

針對關鍵鏈路采用冗余技術設計等手段增強數(shù)據(jù)訪問的可靠性；為保障應用場景下的業(yè)務連續(xù)性，實現(xiàn)

冗余系統(tǒng)的平穩(wěn)及時切換，快速恢復運行，盡可能減少數(shù)據(jù)傳輸?shù)闹袛鄷r間，例如通過磁盤陣列、數(shù)據(jù)

備份、異地容災等手段，以規(guī)避硬件故障、軟件故障、環(huán)境風險、人為故障、自然災害等風險，確保合

法用戶可以對信息和資源的順利的使用。

近兩年來，在政策驅(qū)動和需求牽引的共同作用下，隱私計算技術創(chuàng)新與落地應用快速推進。隱私計

算是涉及密碼學、統(tǒng)計學、人工智能、計算機硬件等多學科交叉融合的技術體系，具體是指由兩個或多

個參與方在不泄露原始數(shù)據(jù)的前提下，通過硬件可信執(zhí)行環(huán)境、聯(lián)邦學習、多方安全計算等技術手段，

保障數(shù)據(jù)在使用、加工、傳輸、提供、公開等數(shù)據(jù)處理活動中的“可用不可見”，保護數(shù)據(jù)不透明、不

泄露、無法被惡意攻擊及被其他非授權(quán)方獲取，同時滿足數(shù)據(jù)開放共享和數(shù)據(jù)安全保護的雙重要求，最

終產(chǎn)生超出自身原始數(shù)據(jù)的更高價值。

5.1.2數(shù)據(jù)傳輸端點安全

一般來說，應用加密技術能夠有效確保數(shù)據(jù)存儲安全。但是在實踐中，對所有數(shù)據(jù)存儲使用加密解

密技術，會影響業(yè)務數(shù)據(jù)訪問時效性，尤其是高頻交互數(shù)據(jù)。因此，通過對數(shù)據(jù)傳輸端點搭建有效的安

全防護體系，選取關鍵增強點進行加密，也是組織在實踐中應用比較多的數(shù)據(jù)安全方案，主動防御數(shù)據(jù)

不被篡改或泄露。

應用服務器到數(shù)據(jù)庫

數(shù)據(jù)可分為結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，結(jié)構(gòu)化數(shù)據(jù)存儲于數(shù)據(jù)庫，例如組織的人事資料、財務數(shù)

據(jù)、銷售采購數(shù)據(jù)等，一般會存儲于數(shù)據(jù)庫。數(shù)據(jù)庫是一個應用系統(tǒng)、平臺系統(tǒng)最核心的部分，隨著數(shù)

據(jù)的資產(chǎn)化，組織最重要的資產(chǎn)在于數(shù)據(jù)庫。應用服務器數(shù)據(jù)流轉(zhuǎn)到數(shù)據(jù)庫，可以進行前置代理加密以

及后置代理加密技術在數(shù)據(jù)出口第一時間進行數(shù)據(jù)加密。數(shù)據(jù)庫加密網(wǎng)關，是數(shù)據(jù)庫前置代理加密技術

的一種，一般是獨立的組件產(chǎn)品，部署在數(shù)據(jù)庫服務器及應用服務器之間，解析數(shù)據(jù)庫協(xié)議，在數(shù)據(jù)保

存到數(shù)據(jù)庫之前對敏感數(shù)據(jù)進行加密，并將密文存儲于數(shù)據(jù)庫中，從而起到保護數(shù)據(jù)安全的效果。

應用服務器到互聯(lián)網(wǎng)

常見的應用服務器系統(tǒng)有Web服務器、FTP服務器以及郵件服務器，這些服務器均需要發(fā)布到互聯(lián)

網(wǎng)讓用戶進行訪問。Web服務器通過HTTP協(xié)議規(guī)范了瀏覽器和Web服務器通信數(shù)據(jù)的格式，F(xiàn)TP服務器

通過FTP協(xié)議實現(xiàn)服務器與客戶端之間的文件傳輸及共享，郵件服務器則通過SMTP及POP協(xié)議與客戶

端進行收發(fā)郵件。但HTTP協(xié)議、FTP協(xié)議是以明文方式進行數(shù)據(jù)傳輸，沒有提供任何方式的數(shù)據(jù)加密。

如果攻擊者截取終端與服務器之間的報文，將存在巨大的的安全隱患。因此，目前多數(shù)服務器會在應用

層協(xié)議與TCP/IP協(xié)議間，增加SSL協(xié)議，保障數(shù)據(jù)傳輸安全合規(guī)。

應用服務器到終端

除了上述通過安全通信協(xié)議來確保應用服務器到互聯(lián)網(wǎng)的數(shù)據(jù)傳輸安全之外，組織還會通過安全代

理網(wǎng)關來進一步加強訪問終端與應用服務器之間的傳輸安全。常見的安全代理網(wǎng)關，如CASB代理網(wǎng)關，

是利用云訪問安全機制的委托式安全代理技術，不需要改造目標應用，通過適配目標應用，對客戶端請

求進行解析，并分析出包含的敏感數(shù)據(jù)，結(jié)合用戶身份，通過安全策略對訪問請求進行脫敏等控制來進

行數(shù)據(jù)傳輸?shù)陌踩芸亍?/p>

5.1.3數(shù)據(jù)傳輸通道安全

代理服務器到終端

基于SSL協(xié)議的傳輸加密技術主要應用于傳輸層的安全，采用密碼算法和數(shù)字證書認證技術，確保

登錄用戶的身份安全可信，以及數(shù)據(jù)傳輸?shù)臋C密性、完整性，滿足固定臺式終端、移動辦公用戶、移動

智能終端等不同場景、不同平臺的可信接入需求。

代理服務器到互聯(lián)網(wǎng)

https在http的基礎上加入了SSL協(xié)議，SSL依靠證書來驗證服務器的身份，并為瀏覽器和服務器

之間的通信加密。可信安全SSL站點證書用于標識網(wǎng)站真實身份，它能夠?qū)崿F(xiàn)網(wǎng)站身份驗證，確保用戶

訪問網(wǎng)站的真實性，確保用戶所瀏覽的信息是真實的網(wǎng)站信息，能有效防范假冒網(wǎng)站和釣魚網(wǎng)站。

代理服務器到代理服務器

基于IPSEC協(xié)議的傳輸加密技術主要應用于網(wǎng)絡層IP包傳輸?shù)陌踩?，包括傳輸模式和隧道模式?/p>

也就是網(wǎng)絡層的安全傳輸。采用密碼算法對用戶報文進行加密，采用ESP協(xié)議對用戶報文進行重新封裝，

確保用戶信息傳輸安全，滿足不同分支機構(gòu)之間以及分支機構(gòu)與總部之間的加密組網(wǎng)需求。

5.1.4數(shù)據(jù)傳輸訪問控制。

除了數(shù)據(jù)傳輸過程中對數(shù)據(jù)本身的安全考量，對數(shù)據(jù)進行訪問控制管理，也能夠有效控制數(shù)據(jù)傳輸

安全。數(shù)據(jù)傳輸訪問控制可以防止非授權(quán)人員訪問、修改、篡改以及破壞系統(tǒng)資源，防止數(shù)據(jù)遭到惡意

破壞。訪問控制主要有以下實現(xiàn)方式。

身份認證

身份認證訪問控制是指通過身份認證技術限制用戶對數(shù)據(jù)或資源的訪問。常見的身份認證方式，包

括口令認證技術、雙因素身份認證技術、數(shù)字證書的身份認證技術、基于生物特征的身份認證技術、

Kerberos身份認證機制、協(xié)同簽名技術、標識認證技術等。常見的身份認證訪問控制應用場景，包括：

已經(jīng)離職以及在職時采用生理特征進行訪問控制的員工，應于離職后及時刪除基于生物特征錄入的信

息；外部人員訪問時應進行身份認證來進行訪問控制；數(shù)據(jù)處理中心的物理安全也應進行身份認證來進

行訪問控制，如機房門口應配置電子門禁系統(tǒng)等技術手段進行訪問控制。

權(quán)限限制

權(quán)限限制訪問控制是指基于最小特權(quán)原則、最小泄露原則、多級安全策略來限制用戶對數(shù)據(jù)或資源

的訪問。常見的權(quán)限限制訪問控制方式，包括：訪問控制表、訪問控制矩陣、訪問控制能力列表、訪問

控制安全標簽列表等，例如，通過對比用戶的安全級別和客體資源的安全級別（絕密、秘密、機密、限

制以及無級別）來判斷用戶是否有權(quán)限可以進行訪問；對用戶進行角色劃分，并授予管理用戶所需的最

小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離；對系統(tǒng)資源的訪問是通過訪問控制列表加以控制的，即當用戶試圖

訪問資源或者數(shù)據(jù)時，系統(tǒng)會控制用戶對有安全標記資源的訪問。

端口開放訪問控制

服務器傳輸數(shù)據(jù)過程，除了需要目標IP地址外，還需要開放一些服務端口。通過系統(tǒng)的端口，能

夠使運行不同操作系統(tǒng)的計算機應用進程互相通訊。端口分為公認的默認端口和動態(tài)端口。默認端口是

用于明確某種服務的協(xié)議，例如默認情況2端口是分配給FTP服務，25端口分配給SMTP服務，80端口

分配給HTTP服務；動態(tài)端口則是用于動態(tài)分配給一些系統(tǒng)進程或應用程序。應用服務器應根據(jù)提供服

務的需求，有限開放對應端口，限制不必要的端口開放，從而有效限制數(shù)據(jù)傳輸泄密的風險。

5.2FW正常時的上下行路徑規(guī)劃

FW正常時上下行路徑規(guī)劃

上行：業(yè)務流量到Border上，Border在業(yè)務VPN內(nèi)查找靜態(tài)默認路由，由于下一跳是FW的路由優(yōu)

先級高，故Border將報文轉(zhuǎn)發(fā)到FW。FW上處理完后，根據(jù)靜態(tài)默認路由，將報文轉(zhuǎn)發(fā)到Border。

Border在PublicVPN中，根據(jù)默認靜態(tài)路由，將報文轉(zhuǎn)發(fā)給路由器。

下行：外網(wǎng)回來的報文到Border后，Border通過匹配PBR，把匹配PBR的報文轉(zhuǎn)發(fā)到FW。FW處理

完后，根據(jù)配置的靜態(tài)明細路由（安全組所在的網(wǎng)段）將報文轉(zhuǎn)發(fā)到Border。Border在業(yè)務VPN

內(nèi)，查找路由，將報文轉(zhuǎn)發(fā)到對應的Leaf設備。

注意：需要事先將PublicVPN跟業(yè)務VPN進行路由互引。

5.3FW故障時的上下行路徑規(guī)劃

FW故障時上下行路徑規(guī)劃

上行流量：FW故障時，Border上的默認靜態(tài)路由的下一條是路由器，故Border將業(yè)務VPN流量發(fā)

給到路由器。

下行流量：由于FW故障時，Border配置的PBR失效，故Border走正常的路由轉(zhuǎn)發(fā)，將報文轉(zhuǎn)發(fā)到

對應的Leaf設備。

如果FW為兩臺，需要FW運行VRRP。

上行路徑中，Border上的靜態(tài)默認路由的下一跳是VRRP組的虛IP地址。這樣，當其中一臺FW故

障，由于下一跳是VRRP的虛IP地址，Border不感知，仍會把報文轉(zhuǎn)發(fā)到FW，由正常工作的FW做

后續(xù)處理。

下行路徑中，Border上的PBR配置的下一跳是VRRP組的虛IP地址。這樣，當其中一臺FW故障，

Border不感知，仍會把報文發(fā)給FW，由正常工作的FW做后續(xù)處理。

6柔性網(wǎng)絡

柔性一方面指網(wǎng)絡架構(gòu)本身非常靈活，業(yè)務部署（應用/終端）可以做到與位置無關；另一方面指

徹底改變傳統(tǒng)網(wǎng)絡通道就緒，終端和人根據(jù)位置匹配通道的模式，將人和應用作為中心，所有網(wǎng)絡的資

源跟隨人和應用移動。柔性具體涵義包括如下幾個亮點：

6.1無狀態(tài)網(wǎng)絡

SDN方案中“位址分離”位指位置，“址”指IP地址，“位址分離”就是IP地址與位置解耦，讓IP

地址可以在任意位置接入，無需改變網(wǎng)絡的配置。

位址分離

6.2用戶策略隨行

策略隨行：指用戶移動到哪里，用戶的體驗不變；一般上要實現(xiàn)策略隨行，都需要對用戶進行分組，

傳統(tǒng)的分組方式與地理位置緊耦合，同一個用戶組位于一個辦公區(qū)，一個樓層或者一個大樓之內(nèi)，很難

跨越地理的局限。這樣用戶一旦移動起來，策略實施就非常復雜，想達到策略跟隨或者體驗一致也非常

困難。

SDN方案策略隨行的核心就是“名址綁定”，名址綁定就是用戶和IP地址一一對應；傳統(tǒng)網(wǎng)絡用戶

名和IP地址是難以做到綁定的，一方面DHCP的方式并不能保證單用戶每次獲取相同的IP，靜態(tài)地址

分配的方式又不能保障用戶在移動過程中保持相同IP能夠在不同的位置進行正常的網(wǎng)絡連接；SDN方

案中無狀態(tài)網(wǎng)絡本身提供了IP任意位置訪問的能力，再配合名址綁定實現(xiàn)用戶位置發(fā)生了變化，IP地

址段也沒有變，甚至IP地址沒有變，針對IP的策略也沒有變，而這種針對IP的策略其實就是針對用

戶的策略，最終實現(xiàn)了用戶的策略隨行。

除了用戶和IP綁定，在某些場合可能不需要做非常強的捆綁，SDN可以提供業(yè)務和IP網(wǎng)段的綁定，

或者用戶組和IP網(wǎng)段的綁定，比如：視頻監(jiān)控終端盡管分布在全網(wǎng)任意位置，但可以將其IP全部分配

在某一個網(wǎng)段之內(nèi)；又比如財務的人員可能也分布在網(wǎng)絡不同的位置，我們也可以將其分配在同一個網(wǎng)

段內(nèi)；最終實現(xiàn)通過IP段標識用戶組或業(yè)務組。

策略隨行

6.3網(wǎng)隨人動

傳統(tǒng)園區(qū)網(wǎng)絡首先是通道就緒，終端根據(jù)最初的規(guī)劃，接入到相關接入交換機的端口，從而實現(xiàn)

VLAN等權(quán)限和終端的匹配，一方面不能夠解決用戶和終端任意位置接入權(quán)限分配的問題，另外終端接

入位置也受限制。

SDN將人和應用作為核心，所有網(wǎng)絡的資源跟隨人和應用移動，用戶在哪里接入、資源就下發(fā)到哪

里，真正體現(xiàn)柔性網(wǎng)絡的網(wǎng)隨人動的特點。

網(wǎng)隨人動

6.4無差別網(wǎng)絡

園區(qū)分支無差別：SDN無狀態(tài)網(wǎng)絡、用戶策略隨行、網(wǎng)隨人動不僅僅可以在單園區(qū)實現(xiàn)，還可以跨

園區(qū)、在園區(qū)分子之間實現(xiàn)，滿足業(yè)務、用戶在更大范圍內(nèi)移動化辦公，符合電教館的多分支架構(gòu)。

跨園區(qū)組網(wǎng)

園區(qū)分支無差別組網(wǎng)

6.5有線無線深度統(tǒng)一

SDN的有線無線深度融合網(wǎng)絡采用如下方式極大解放了AC和AP，面向未來的高速無線時代。

統(tǒng)一管理：通過統(tǒng)一的SDN控制器實現(xiàn)有線無線統(tǒng)一管理。一套管理系統(tǒng)，統(tǒng)一的有線無

線拓撲展示，有線無線用戶統(tǒng)一認證，統(tǒng)一的基于5W1H劃分用戶組。

統(tǒng)一轉(zhuǎn)發(fā)：AC僅負責控制和管理下轄的大量AP，AP的數(shù)據(jù)流量轉(zhuǎn)發(fā)不再上AC，而是本地

轉(zhuǎn)發(fā)。這樣帶來兩個好處：1）由于AC不再負責數(shù)據(jù)轉(zhuǎn)發(fā)，性能瓶頸完全消除，完全順應

將來高速無線的趨勢，而且AC成本可以大幅降低。甚至將來AC完全可以做成軟件集成到

SDN控制器中作為一個功能管控模塊。2）從AP轉(zhuǎn)發(fā)出來的報文不再封裝CAPWAP，而是802.3

格式的Ethernet報文，L3網(wǎng)關也都設置在交換機上。這樣消除了CAPWAP的加減封裝的處

理消耗，效率更高。AP發(fā)送出來的無線流量和從交換機/PC發(fā)送出來的有線流量一模一樣，

有線/無線流量完全混跑在一起，其他設備無法區(qū)分也不需要區(qū)分。

統(tǒng)一策略：由于無線的數(shù)據(jù)轉(zhuǎn)發(fā)完全從AC卸載到交換機上，之前我們策略隨行矩陣定義的

業(yè)務策略完全適用于有線和無線流量，也不需要單獨給無線再定義組間訪問策略。此外，

在AP本地轉(zhuǎn)發(fā)模式下，依賴有線的無狀態(tài)網(wǎng)絡，解決跨三層漫游的問題，無線終端依舊可

以跨整個園區(qū)漫游，而且不需要在AC側(cè)做復雜的處理。

有線無線融合

6.6網(wǎng)絡虛擬通道隔離

整網(wǎng)采用overlay的技術，天然具備跨廣域網(wǎng)的通道隔離能力，相比MPLS的隔離方式，VXLAN的

隔離只需要在端點（VTEP）做隔離，不需要全網(wǎng)隔離，端點之間只需要IP互通既可。一方面讓整個運

維節(jié)點大幅減少，另一方面端點之間支持多運營商連接，負載均衡可以直接通過ECMP來實現(xiàn)，讓整個

組網(wǎng)清晰、運維更簡單。

在隔離方式上，SDN提供兩種隔離方式，一是類似MPLS的VRF隔離，每個用戶組在VTEP節(jié)點分配

不同的VRF，VRF之間在路由層面實現(xiàn)隔離，每個用戶在VRF內(nèi)通過VLAN映射成不同的VXLAN，最終實

現(xiàn)在通道內(nèi)通過VXLAN數(shù)據(jù)傳輸，實現(xiàn)隔離。二是ACL的隔離方式，因為每個用戶組在IP分配的時候

已經(jīng)分配在不同的網(wǎng)段，因此不同用戶組在接入之后獲取的是不同網(wǎng)段的IP，ACL隔離相對比較簡單，

一條ACL就可以實現(xiàn)不同用戶組之間的網(wǎng)絡隔離。

網(wǎng)絡虛擬通道隔離

6.7良好的兼容性

SDN方案采用了VXLAN扁平化組網(wǎng)進行二層隔離，結(jié)合分布式網(wǎng)關技術在將原本集中在核心的壓力

分散到各匯聚層設備上保障了整網(wǎng)的健壯性，提升了網(wǎng)絡的性能規(guī)格的同時，在控制組件統(tǒng)一管控下實

現(xiàn)了策略自動跟隨、設備自動化上線等功能，這不僅降低了運維成本，同時實現(xiàn)了自動化，進一步的節(jié)

省了運維的人力，可以稱得上是升級版的扁平化方案，是新建園區(qū)的不二之選。另一方面，僅需要匯聚、

核心設備支持VXLAN，在老園區(qū)改造中，可以最大程度的保護用戶的原有投資（V5、V7、第三方的接入

設備），降低用戶的改造成本，真正的做到物盡其用。

良好的兼容性

6.8彈性擴展，擴容無憂

SDN方案使用標準的EVPN協(xié)議（RFC7348+draft-sd-l2vnp-evpn-overlay，RFC7209，RFC7432）作

為VXLAN的控制平面構(gòu)建了分布式網(wǎng)關的組網(wǎng)模型，解決了VXLAN依賴于數(shù)據(jù)平面的flood-and-learn

學習遠端地址信息所帶來的BUM報文廣播問題；避免了采用集中式網(wǎng)關組網(wǎng)模型下，全網(wǎng)的規(guī)模受限于

核心層網(wǎng)關單臺設備的標箱規(guī)格的局限；使得園區(qū)內(nèi)的流量可以按照最優(yōu)的路徑進行轉(zhuǎn)發(fā)，避免了繞行

及對核心設備的沖擊；同時借助EVPN協(xié)議完成園區(qū)網(wǎng)絡的初始化配置，避免了過多的人為手工配置，

是自動化部署的技術基礎。正因如上的諸多好處，使得EVPN成為園區(qū)網(wǎng)的控制平面首選。采用了EVPN

的園區(qū)網(wǎng)絡的規(guī)?？梢赃M一步擴展，滿足各行業(yè)網(wǎng)絡規(guī)模的不斷發(fā)展。

此外園區(qū)網(wǎng)控制組件支持分布式部署模式，當園區(qū)規(guī)模發(fā)生變化的時候，通過增加相關組件license，

將園區(qū)控制組件的各組件依據(jù)所需的性能要求進行升級或擴容，采用分布式部署模型，滿足對跟大規(guī)模

園區(qū)的管控需求。

6.9IPv4/IPv6雙棧部署

SDN方案目前推薦部署IPv4/IPv6雙棧方式承載IPv6業(yè)務：

1、IPv4/IPv6雙棧部署方式同IPv4部署方式；

2、網(wǎng)絡管理、underlay網(wǎng)絡仍然采用IPv4；

3、Overlay網(wǎng)絡同時承載IPv4/IPv6流量；

4、用戶IPv4MACPortal認證成功后，直接轉(zhuǎn)發(fā)該用戶的IPv6流量；

7IPv6業(yè)務部署

7.1典型組網(wǎng)

當前SDN可以支持underlay為IPv4場景；Overlay可以為IPv6單棧，也可以是IPv4、v6雙棧。

IPv6對硬件資源消耗幾倍于IPv4，在非微分段模式下啟用IPv6的組間策略會讓網(wǎng)絡難以為繼，所以建

議在微分段模式下使用IPv6的組間策略能力。

SDN部署IPv6典型組網(wǎng)

7.2IPV6部署設計

7.2.1IPv6網(wǎng)絡設計

IPv6網(wǎng)絡的部署一般考慮以下兩種方式：

與IPv4共存一段時間作為過渡，雙棧部署

去除IPv4，僅保留IPv6，為IPv6單棧網(wǎng)絡

IPv6地址的分配也存在多種方式，可以通過DHCPv6服務器自動分配，也可以通過網(wǎng)關無狀態(tài)方式。

多數(shù)終端兩種方式都可以支持，但無線終端略有不同。

無線終端主流的操作系統(tǒng)是IOS系統(tǒng)和Android系統(tǒng)，這兩種系統(tǒng)的終端獲取IPv6地址方式見下圖：

為兼容兩種操作系統(tǒng)無線終端，無線IPv6部署限制：

需為無線終端同時提供IPv4、IPv6地址

無線終端通過網(wǎng)關無狀態(tài)分配方式獲取IPv6地址

7.2.2IPv6路由學習

內(nèi)網(wǎng)路由同步：園區(qū)網(wǎng)終端經(jīng)過認證后，會在LEAF設備上上線，生成IPv6的EVPN路由信息。

Leaf設備上終端的128位主機路由（ND）可以通過EVPN協(xié)議同步到Spine設備上，并加入到IPv6路由

表中

7.2.3DHCPv6Server部署

終端IPv6支持度：

Windows系統(tǒng)MAC系統(tǒng)Andriod系統(tǒng)IOS系統(tǒng)

DHCPv6YYNY

網(wǎng)關無狀態(tài)YYYY

默認雙棧YYYY

NDRDNSSYYYY

備注：

Android系統(tǒng)需先獲取IPv4地址，然后才能通過網(wǎng)關無狀態(tài)方式獲取IPv6地址

NDRDNSS指通過ND的RA報文通告IPv6DNSServer對應IPv6地址

終端IPv6支持度來源于全球IPv6測試中心《2019IPv6支持度報告》

在交換芯片中，IPv6主機路由表項占用資源是IPv4主機路由表項占用資源的2倍或4倍（取決于交換

芯片），為了減少IPv6臨時地址數(shù)量，建議網(wǎng)絡IPv6地址分配方式：

有線業(yè)務，推薦PC采用DHCPv6申請地址

無線業(yè)務，推薦采用網(wǎng)關無狀態(tài)地址分配方式：Android手機不支持DHCPv6

85G和教育城域網(wǎng)的融合

8.15G推出關鍵技術

2019年6月，世界移動大會在上海召開。大會舉行了“5G賦能教育·智慧點亮未來”分論壇，發(fā)布了《5G+

智慧校園白皮書》，標志著5G技術在教育領域應用的開啟?！?G+智慧校園白皮書》對5G的關鍵技術進

行了闡釋，主要包括：①虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN），是指通過使用通用性硬件

和虛擬化技術，取代通信網(wǎng)絡中私有、專用、封閉的網(wǎng)元，搭建“統(tǒng)一通用硬件平臺+業(yè)務邏輯軟件”的

開放架構(gòu)，加快網(wǎng)絡部署和調(diào)整的速度，降低業(yè)務部署的復雜度。5G的VLAN技術可實現(xiàn)終端與企業(yè)網(wǎng)同

處于一個局域網(wǎng)內(nèi)，支持企業(yè)用戶對終端的靈活管理。②網(wǎng)絡切片，是指將物理網(wǎng)絡劃分為多個虛擬網(wǎng)

絡，每一個虛擬網(wǎng)絡可以滿足不同的服務需求；同時，為不同垂直行業(yè)、不同客戶、不同業(yè)務提供相互

隔離。③可定制網(wǎng)絡，是指結(jié)合行業(yè)需求，規(guī)劃面向場景的5G網(wǎng)絡切片樣板，賦能垂直行業(yè)，提供可定

制網(wǎng)絡，滿足不同用戶需求。④移動邊緣計算（MobileEdgeComputing，MEC），是指在靠近數(shù)據(jù)源或用

戶的地方提供計算、存儲等基礎功能，并為邊緣應用提供IT環(huán)境服務和云服務。相較于集中部署的云計

算服務，MEC解決了時延過長、匯聚流量過大等問題，可為實時性和帶寬密集型業(yè)務提供更好的支持。

此外，MEC在網(wǎng)絡邊緣運行，邏輯上并不依賴于網(wǎng)絡的其它部分，故能為敏感型業(yè)務提供通信安全保障。

⑤毫米波傳輸，是指波長在1～10毫米之間的電磁波通訊傳輸。5G數(shù)據(jù)傳輸使用24.25～52.6GHz頻段，

利用毫米波傳輸大帶寬的特性，使數(shù)據(jù)速率高達10Gbps甚至更多。

8.2區(qū)域教育城域網(wǎng)的“云化”

隨著各校對教育網(wǎng)絡應用和資源需求的不斷增長，區(qū)域教育城域網(wǎng)對網(wǎng)絡質(zhì)量也提出了更高的要

求，勢必造成存儲和服務器等硬件設備的快速發(fā)展，區(qū)域教育城域網(wǎng)“云化”勢在必行。“云化”將原有對

互聯(lián)網(wǎng)帶寬和網(wǎng)絡硬件的需求逐漸轉(zhuǎn)化為對教育應用和資源的需求，強調(diào)視頻類遠程教育、視頻會議、

網(wǎng)絡電視臺的低延時、高帶寬和廣接入。不同學校之間除了用高帶寬光纖互聯(lián)以保證有線網(wǎng)絡的高速接

入，還可通過5G無線網(wǎng)絡的快速部署，突破傳統(tǒng)有線網(wǎng)絡和中心機房對地點、用戶人數(shù)的限制，從而隨

時隨地享受更快捷、更穩(wěn)定的智慧教育體驗。

8.35G融入?yún)^(qū)域教育城域網(wǎng)的建設方向

5G網(wǎng)絡環(huán)境因其大帶寬、低延時、較強的邊緣計算和管控能力等優(yōu)勢，將成為未來智慧教育環(huán)境的

基礎，并將成為區(qū)域教育城域網(wǎng)建設的重要發(fā)展方向。結(jié)合傳統(tǒng)的2G/3G/4G、寬帶、Wifi等網(wǎng)絡，未來

的區(qū)域教育城域網(wǎng)將從目前“以語音和數(shù)據(jù)為核心”轉(zhuǎn)為“以內(nèi)容和流量為核心”。基于此，5G融入?yún)^(qū)域教

育城域網(wǎng)的建設方向為：①核心網(wǎng)從扁平的集中化架構(gòu)調(diào)整為“中心+邊緣”的分布式架構(gòu)，傳統(tǒng)機房被

重構(gòu)為云數(shù)據(jù)中心，新建或改造邊緣基礎設施，以滿足新設備形態(tài)所需的空間、電源、散熱、網(wǎng)絡配套

等需求。②傳統(tǒng)網(wǎng)元與虛擬化網(wǎng)元長期共存，多制式混合組網(wǎng)，傳統(tǒng)網(wǎng)元容量逐步向虛擬化網(wǎng)絡遷移；

部署面向服務的虛擬化網(wǎng)絡功能，按需生成網(wǎng)絡切片，以滿足不同用戶在不同場景的業(yè)務需求。綜上所

述，5G融入?yún)^(qū)域教育城域網(wǎng)是以網(wǎng)絡功能虛擬化（NetworkFunctionVirtualization，NFV）、軟件定義

網(wǎng)絡（SoftwareDefinedNetworking，SDN）技術為基礎，實現(xiàn)資源可全局調(diào)度、業(yè)務可快速部署、能力

可全面開放、容量可彈性伸縮、架構(gòu)可靈活調(diào)整的新一代網(wǎng)絡。

8.45G融入?yún)^(qū)域教育城域網(wǎng)的相關設計

5G融入?yún)^(qū)域教育城域網(wǎng)的特色功能①彈性計算：提供彈性云主機、專用物理機和分布式計算云，以

滿足用戶虛擬機、物理服務器承載業(yè)務與分布式計算的各類需求；支持云主機規(guī)格變更和彈性伸縮，可

實現(xiàn)計算資源的垂直和水平變化。②彈性存儲：包括集中存儲和分布式存儲兩類產(chǎn)品，可滿足用戶不同

數(shù)據(jù)種類、不同數(shù)據(jù)讀取要求、不同數(shù)據(jù)存儲時限的數(shù)據(jù)存儲場景。③網(wǎng)絡與分發(fā)：包括虛擬私有云

（VirtualPrivateCloud，VPC）、彈性負載均衡、云專線接入和內(nèi)容分發(fā)網(wǎng)絡（ContentDeliveryNetwork，

CDN），服務于安全保障、能力提升和質(zhì)量保證。④彈性負載均衡：自動將訪問流量分發(fā)到多臺彈性云

主機，擴展應用系統(tǒng)對外的服務能力，實現(xiàn)更高水平的應用程序容錯性能。

5G融入?yún)^(qū)域教育城域網(wǎng)的云服務模式5G融入?yún)^(qū)域教育城域網(wǎng)具有虛擬化和云化的特點，可以滿足區(qū)

域內(nèi)行政管理、師生教育教學的需求，其云服務模式如圖所示。

5G融入?yún)^(qū)域教育城域網(wǎng)的云服務模式

（1）基礎設施即服務（InfrastructureasaService，IaaS）層

IaaS層提供支持云服務所需的軟、硬件資源，包括計算、存儲、網(wǎng)絡、安全等基礎資源，具有彈性

可擴展能力，能利用云平臺提供數(shù)據(jù)分布式存儲、數(shù)據(jù)高速并行處理、資源池管理與動態(tài)調(diào)度、虛擬機

建立與多租戶管理、數(shù)據(jù)安全加密、大用戶量并發(fā)訪問、負載均衡與失敗轉(zhuǎn)移、容災和容錯等功能。

（2）平臺即服務（PlatformasaService，PaaS）層基于IaaS層的相關功能，PaaS層提供應用服務

云平臺，為上層應用提供在線服務接口和相關服務，主要包括：①用戶身份和授權(quán)服務，負責對整個平

臺的各類用戶進行身份驗證與權(quán)限分配；②移動訪問接口服務，負責提供各個應用系統(tǒng)數(shù)據(jù)的移動訪問

接口，對各數(shù)據(jù)進行加工并實現(xiàn)在移動設備上訪問；③開放訪問接口，提供平臺向第三方開放的基礎數(shù)

據(jù)，如用戶信息、登錄論證、消息訪問接口等；④分布式計算與部署服務，為各系統(tǒng)橫向擴展提供計算

能力增長的支撐，實現(xiàn)系統(tǒng)的統(tǒng)一部署與容災容錯管理。

（3）軟件即服務（SoftwareasaService，SaaS）層SaaS層提供區(qū)域教育行政管理應用、資源共建

共享、教師研修、網(wǎng)絡教學管理、家?；印⒔K身學習、輿情信息監(jiān)控、郵箱等服務，同時提供云終端

設備訪問的所有信息服務。

8.55G融入?yún)^(qū)域教育的云服務平臺

考慮到未來教育云服務的建設任務重、安全壓力大、技術要求高，本研究基于5G融入?yún)^(qū)域教育城域

網(wǎng)的云服務模式，對區(qū)域教育的云服務平臺進行了設計：各主要模塊采用購買服務的方式進行建設、管

理和運維，其具體功能的設置可以根據(jù)區(qū)域教育城域網(wǎng)的實際情況進行增刪，特別是基礎資源層、云運

營、云運維和安全部分的相關功能可以靈活調(diào)整。區(qū)域教育云服務平臺的功能拓撲圖如圖所示，主要包

括數(shù)據(jù)中心安全、云服務、基礎資源層、業(yè)務連續(xù)性和數(shù)據(jù)中心管理等功能模塊，是硬件系統(tǒng)的云運營

和云運維框架。

區(qū)域教育云服務平臺的功能拓撲圖

8.65G區(qū)域教育城域?qū)＞W(wǎng)的構(gòu)建

隨著5G時代的來臨，沉浸式教育走進真實的課堂，并且更多的教育資源將被傳送到貧困地區(qū)和偏遠

地區(qū)。相較于4G移動網(wǎng)絡，5G通過網(wǎng)絡切片技術和邊緣計算技術可以更好地滿足行業(yè)用戶的應用需求。

而在教育領域中應用網(wǎng)絡切片技術和邊緣計算技術，可以實現(xiàn)區(qū)域教育城域?qū)＞W(wǎng)的搭建。基于此，本研

究設計了基于網(wǎng)絡切片技術和邊緣計算技術的5G區(qū)域教育城域?qū)＞W(wǎng)架構(gòu)，如圖所示。

基于網(wǎng)絡切片技術和邊緣計算技術的5G區(qū)域教育城域?qū)＞W(wǎng)架構(gòu)

在5G區(qū)域教育城域?qū)＞W(wǎng)中，網(wǎng)絡切片技術構(gòu)建了多個專用的、虛擬的、隔離的、按需定制的邏輯網(wǎng)

絡，來滿足業(yè)務對網(wǎng)絡的不同要求（如時延、帶寬、連接數(shù)等），并通過全連接使5G、4G、窄帶物聯(lián)網(wǎng)

（NarrowBandInternetofThings，NB-IoT）、專線網(wǎng)絡的數(shù)據(jù)共享，避免造成不同網(wǎng)絡之間的數(shù)據(jù)孤島；

同時，對教師、學生、家長等用戶的隱私數(shù)據(jù)進行本地化傳輸與存儲，以保障用戶的數(shù)據(jù)安全。5G切片

基于獨立組網(wǎng)（StandAlone，SA）實現(xiàn)，具有以下特征：①基于不同的業(yè)務提供不同專網(wǎng)，在調(diào)度不同

業(yè)務時，先保障高優(yōu)先級業(yè)務；②提供業(yè)務安全，保障學校的隱私數(shù)據(jù)安全；③基于業(yè)務對專網(wǎng)帶寬、

時延等網(wǎng)絡要求，按需調(diào)整學校間（如附屬學校、分校）專網(wǎng)，共享4K/8K效果的AR、VR等業(yè)務。

此外，在5G區(qū)域教育城域?qū)＞W(wǎng)的傳輸網(wǎng)架構(gòu)中引入邊緣計算技術，并在靠近接入側(cè)的邊緣機房部署

網(wǎng)關、服務器等設備，可以增強計算能力，破解帶寬和時延抖動等性能瓶頸，滿足不同應用帶來的多樣

化網(wǎng)絡需求，從而降低時延、減少回傳壓力、提升用戶體驗。

總的來說，5G區(qū)域教育城域?qū)＞W(wǎng)的建設，可實現(xiàn)人臉識別、云桌面、云管理平臺、教學平臺、資源

平臺、服務平臺、家校溝通平臺、社會實踐服務平臺等智慧應用在云端的部署，并利用5G網(wǎng)絡的高帶寬、

低時延等優(yōu)勢，為用戶提供更強大的功能和更優(yōu)質(zhì)的體驗。

8.75G融入?yún)^(qū)域教育城域網(wǎng)的價值

8.7.1重構(gòu)智慧校園建設

目前，盡管以云計算為核心的集中式數(shù)據(jù)處理模式能夠滿足云端的計算和存儲能力，但面對高質(zhì)體

驗需求的新業(yè)務時仍然存在諸多不足，主要表現(xiàn)為：①所有的業(yè)務流均通過云計算中心進行處理，時延

和擁塞的問題將嚴重影響業(yè)務體驗，無法滿足用戶對超低時延的要求；②隨著接入終端數(shù)的迅速增加，

海量數(shù)據(jù)回傳會給運營商接入網(wǎng)和核心網(wǎng)帶來巨大壓力，進而降低網(wǎng)絡的運行效率。5G技術融入?yún)^(qū)域教

育城域網(wǎng)，要求重構(gòu)區(qū)域教育城域網(wǎng)建設的技術標準和應用標準，隨之而來的是區(qū)域內(nèi)的智慧校園建設

也需要重構(gòu)。基于此，本研究設計了重構(gòu)后基于5G的智慧校園建設拓撲圖，如圖所示。

重構(gòu)后基于5G的智慧校園建設拓撲圖

重構(gòu)后基于5G的智慧校園建設的主要內(nèi)容有：①針對云AR/VR教學、全息課堂、云端智能管理等新

業(yè)務對網(wǎng)絡提出的超低時延、超大帶寬、實時計算等需求，利用5G技術提供海量的終端管理、高可靠低

時延組網(wǎng)、分級質(zhì)量保證、數(shù)據(jù)實時計算和緩存加速、應用容器服務等基礎功能，并通過多級邊緣計算

系統(tǒng)，為智慧校園提供實時、可靠、智能和泛在的端到端服務。②針對多種教育場景提供多級邊緣計算

的解決方案，將邊緣計算節(jié)點部署于基站側(cè)、基站匯聚側(cè)或核心網(wǎng)邊緣側(cè)，為智慧校園提供多種智能化

的網(wǎng)絡接入和高帶寬、低時延的網(wǎng)絡承載，并基于開放可靠的連接、計算與存儲資源，支持多生態(tài)業(yè)務

在接入邊緣側(cè)的靈活承載。

8.7.2推動課堂教學變革

5G融入?yún)^(qū)域教育城域網(wǎng)，推動著課堂教學發(fā)生了較大變革：①工具與技術變革主要表現(xiàn)為電化教育、

PPT課件、網(wǎng)絡空間人人通等；②教學模式變革主要表現(xiàn)為慕課、專遞課堂、名師課堂、名校網(wǎng)絡課堂

等，并且?guī)熒P系也不再固定，在網(wǎng)絡課堂上每個人的角色可以不斷變化；③教學目標變革主要表現(xiàn)為

學習可以隨時、隨地進行，教學內(nèi)容也不再限于專業(yè)知識，使終身學習和“21世紀核心素養(yǎng)”[4]的培養(yǎng)

皆成為可能。

8.7.3促進學習方式變革

5G融入?yún)^(qū)域教育城域網(wǎng)，也促進學習方式發(fā)生了重要變革，即由傳統(tǒng)的面對面單向講授模式，發(fā)展

為多終端、多地點、雙向、線上線下相結(jié)合的混合式模式。而利用AR、VR等多技術輔助下的多教學場景，

學習將更加真實立體、互動將更加多元，黑板不再是唯一的展示工具，學生可通過Pad等終端接入?yún)^(qū)域

教育城域網(wǎng)開展在線學習、討論互動與展示評價?？偟膩碚f，充分利用5G技術背景下教育資源獲取的便

利性、即時性、共享性等優(yōu)勢，變革課堂教學和學習方式，打通學校與學校、學校與社會教育機構(gòu)、學

校與家庭之間的壁壘，并以學生為中心開展5G融入?yún)^(qū)域教育城域網(wǎng)的建設與應用，對于推動教育的優(yōu)質(zhì)

均衡發(fā)展有重要作用。在教學方式和學習方式發(fā)生變革的背景下，利用5G、大數(shù)據(jù)、人工智能等現(xiàn)代技

術，一套新的教育生態(tài)系統(tǒng)、一種面向未來的教育模式就完全可以成為現(xiàn)實。

9智能運維

9.1網(wǎng)絡運維

SDN分析組件通過對設備運行狀態(tài)、用戶接入及在線狀態(tài)、業(yè)務流量的實時數(shù)據(jù)采集和狀態(tài)感知，

并通過大數(shù)據(jù)分析技術和AI算法，將網(wǎng)絡的運行可視化，主動感知網(wǎng)絡的潛在風險并自動預警。

SDN分析組件圍繞如下幾點構(gòu)建：

多維可視：

網(wǎng)絡360度可視：包括網(wǎng)絡拓撲、設備運行狀態(tài)（CPU、內(nèi)存占用率等）、鏈路狀態(tài)等信

息的可視

用戶360度可視：包括用戶接入網(wǎng)絡過程的健康度數(shù)據(jù)、行為狀態(tài)數(shù)據(jù)，以及用戶網(wǎng)絡

使用量數(shù)據(jù)及趨勢數(shù)據(jù)等的可視

應用360度可視：包括TopN應用流量、應用流的轉(zhuǎn)發(fā)路徑、應用流的實時大小、應用

質(zhì)量（延時、抖動、丟包等）、應用健康度等信息的可視

動態(tài)基線、智能預測：

SDN分析組件自動對采集上來的海量數(shù)據(jù)進行大數(shù)據(jù)分析，并結(jié)合AI算法，計算設備運

行狀態(tài)基線、用戶在線狀態(tài)基線、應用流基線及預測值；

將實測值與基線數(shù)據(jù)進行比較，判斷實測值是否異常；

對數(shù)據(jù)進行多維度相關性分析，明確異常直接因素。

9.2技術實現(xiàn)

9.2.1整體架構(gòu)

為了解決融合園區(qū)、數(shù)據(jù)中心、WAN網(wǎng)絡場景的業(yè)務部署，網(wǎng)絡保障功能，引入了SDN控制組件和

分析組件。下面是SDN整體架構(gòu)：

SDN分析組件基于DataEngine大數(shù)據(jù)平臺構(gòu)建，通過gRPC、ERSPAN、INT等Telemetry技術接收

來自網(wǎng)絡設備的數(shù)據(jù)上報，運用智能算法對網(wǎng)絡數(shù)據(jù)進行分析、呈現(xiàn)。SDN分析組件系統(tǒng)架構(gòu)見下圖：

SDN分析系統(tǒng)整體架構(gòu)分為四部分：數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)分析、數(shù)據(jù)呈現(xiàn)：

數(shù)據(jù)采集：

SDN分析采集器負責收集網(wǎng)絡的場景數(shù)據(jù)和運行數(shù)據(jù)。場景數(shù)據(jù)可來自于控制組件和北

向API接口，包括物理網(wǎng)絡中各個設備的類型、角色、連接關系，以及邏輯網(wǎng)絡中的

各個邏輯元素，如虛擬網(wǎng)絡、子網(wǎng)等內(nèi)容。運行數(shù)據(jù)來自于物理網(wǎng)絡中的各個網(wǎng)絡設

備，網(wǎng)絡設備通過Telemetry方式上報的數(shù)據(jù)：包括采用ERSPAN/INT技術采集的網(wǎng)絡

設備的流量數(shù)據(jù)、基于gRPC協(xié)議上報的性能Metrics數(shù)據(jù)、基于SNMP/NETCONF協(xié)議

上報的設備的運行狀態(tài)數(shù)據(jù)等。

采集器收集的所有數(shù)據(jù)都具有時間屬性，代表了某一時刻網(wǎng)絡的運行狀態(tài)。對于ERSPAN

采集的流量數(shù)據(jù)報文，采集器將收到的報文打上時間戳，INT數(shù)據(jù)報文內(nèi)部已經(jīng)攜帶

時間戳。之后將采集報文打包發(fā)送給分析組件進行分析。

SDN分析采集器通過分布式部署架構(gòu)，實現(xiàn)數(shù)據(jù)采集層的按需擴容，來滿足海量數(shù)據(jù)的

采集需求。

數(shù)據(jù)存儲：

采集的數(shù)據(jù)根據(jù)業(yè)務需要，分類分級進行存儲。存儲要包括原始數(shù)據(jù)庫、基礎數(shù)據(jù)庫、

業(yè)務主題庫、應用庫。不同數(shù)據(jù)的保存周期需要可管理。并且，因應用場景的差異，SDN

分析組件支持大小數(shù)據(jù)模式。

SDN分析組件采用DataEngine大數(shù)據(jù)平臺完成海量數(shù)據(jù)的分布式存儲。

數(shù)據(jù)分析：-

SDN分析組件能夠?qū)W(wǎng)絡進行完整的透視，理解整個網(wǎng)絡物理拓撲和業(yè)務運行狀態(tài)。對

采集的數(shù)據(jù)從業(yè)務需求角度進行計算，包括實時計算和離線計算。

SDN分析組件采用Spark、Flink等分布式計算引擎完成數(shù)據(jù)在線、離線分析任務，來滿

足分析任務的計算能力需求。

數(shù)據(jù)呈現(xiàn)：

設備360度健康度及網(wǎng)絡健康度概覽

用戶終端360度健康度及用戶健康度概覽

應用360度健康度及應用健康度概覽

網(wǎng)絡、用戶、應用問題聚類及分布

9.2.2ERSPAN流分析技術

ERSPAN（EncapsulatedRemoteSwitchPortAnalyzer）封裝遠程端口鏡像，其功能是將鏡像報文封裝

為協(xié)議號是0x88BE的GRE報文，通過三層網(wǎng)絡路由轉(zhuǎn)發(fā)到遠端監(jiān)控設備。

9.2.3DHCP交互報文

用戶終端上線過程中，DHCPServer向終端分配IP是重要一環(huán)，分析DHCPServer回應報文將有助

于終端IP地址申請失敗問題定位。通過ERSPAN將Spine與DHCPServer之間交互DHCP報文送到

SeerAnalyzer分析組件，以避免SeerAnalyzer與各廠商DHCPServer對接。

DHCP交互報文

9.2.4Telemetry技術

Telemetry是一項監(jiān)控設備性能和故障的遠程高速數(shù)據(jù)采集技術。Telemetry技術采用gRPC協(xié)議，

通過推模式（PushMode）主動把設備數(shù)據(jù)信息上送給采集器，從而實現(xiàn)比傳統(tǒng)SNMP查詢方式更實時、

更高效的數(shù)據(jù)采集性能。

gRPC協(xié)議

gRPC（GoogleRemoteProcedureCall，Google遠程過程調(diào)用）是Google發(fā)布的基于HTTP2.0

傳輸層協(xié)議承載的高性能開源軟件框架，提供了支持多種編程語言的、對網(wǎng)絡設備進行配

置和管理的方法。通信雙方可以基于該軟件框架進行二次開發(fā)，從而使得雙方可以聚焦于

業(yè)務，無需關注gRPC軟件框架實現(xiàn)的底層通信。

gRPC協(xié)議棧分層如下表所示：

分層說明

業(yè)務模塊的數(shù)據(jù)

內(nèi)容層

通信雙方需要了解彼此的數(shù)據(jù)模型，才能正確交互信息

ProtocolBuffers編碼層gRPC通過ProtocolBuffers編碼格式承載數(shù)據(jù)

gRPC層遠程過程調(diào)用，定義了遠程過程調(diào)用的協(xié)議交互格式

HTTP2.0層gRPC承載在HTTP2.0協(xié)議上

TCP層TCP連接提供面向連接的、可靠的、順序的數(shù)據(jù)鏈路

根據(jù)設備和網(wǎng)管的數(shù)據(jù)傳輸方式的不同，gRPC網(wǎng)絡架構(gòu)分為Dial-in和Dial-out：

Dial-in模式的設備作為gRPC服務器，采集器作為gRPC客戶端。由采集器主動向設備

發(fā)起gRPC連接并訂閱需要采集的數(shù)據(jù)信息，Dial-in